Tesla, sicurezza a nudo: scoperta falla che permette di attivare funzioni a pagamento (e non si può risolvere)

Tesla, sicurezza a nudo: scoperta falla che permette di attivare funzioni a pagamento (e non si può risolvere)

Un team di ricercatori ha scoperto come bucare le difese delle Tesla di ultima generazione con hardware di AMD per entrare in possesso di dati sensibili e abilitare funzionalità che, in genere, il produttore consente di attivare solo a pagamento.

di pubblicata il , alle 09:46 nel canale Sicurezza
Tesla
 

Un team di ricercatori di sicurezza della TU Berlin ha trovato un modo per bucare le difese dei veicoli Tesla e attivare funzionalità generalmente a pagamento. Stando a quanto sarà riportato alla conferenza Black Hat USA 2023, il team è riuscito a bucare la MCU del veicolo elettrico, ovvero la Media Control Unit che controlla touchscreen, navigazione e sistemi di entertainment.

Oggetto delle attenzioni dei ricercatori è stata in particolare la MCU-Z, dietro a cui c'è la terza generazione della MCU Tesla basata su un SoC AMD custom realizzato per conto della casa automobilistica guidata da Elon Musk. Ed è proprio sfruttando una falla del chip AMD che i ricercatori sono riusciti ad abilitare funzionalità per cui la casa statunitense fa solitamente pagare un sovrapprezzo, come il riscaldamento dei sedili posteriori.

L'attacco che sarà illustrato alla conferenza funziona su tutti i modelli recenti e garantisce a potenziali malintenzionati due capacità distinte: la prima è quella di abilitare una sorta di "Tesla Jailbreak" che, a detta dei ricercatori, non è in alcun modo risolvibile (unpatchable), consentendo così l'esecuzione di codice arbitrario sul sistema di infotainment.

La seconda è che permette di estrarre una chiave RSA univoca legata al veicolo, utile per autenticare e autorizzare ogni veicolo sulla rete di servizio interna di Tesla.

Per fare tutto ciò i ricercatori hanno applicato un attacco di 'voltage fault injection' contro l'AMD Secure Processor (ASP), che funge da 'root of trust' per il sistema. Inoltre, si sono avvalsi di hardware a basso costo e ampiamente disponibile al fine di intervenire sul codice di avvio iniziale dell'ASP. Alla conferenza verrà anche spiegato come sono riusciti a "effettuare il reverse engineering del flusso di avvio per ottenere una shell di root sulla loro distribuzione Linux di ripristino e produzione".

Ottenendo i permessi di root sono riusciti ad applicare cambiamenti arbitrari a Linux "che sopravvivono a riavvii e aggiornamenti". Un malintenzionato può così decodificare lo storage NVMe e accedere ai dati utenti privati come la rubrica telefonica, il calendario e altro ancora.

"D'altra parte, può anche favorire l'utilizzo dell'auto nelle regioni non supportate. Inoltre, l'attacco ASP apre la possibilità di estrarre una chiave di attestazione protetta da TPM che Tesla utilizza per autenticare l'auto. Ciò consente di migrare l'identità di un'auto su un altro car computer senza l'aiuto di Tesla, rendendo più semplici alcune riparazioni".

Insomma, l'attacco richiede accesso fisico alla vettura e non è di facilissima attuazione dato che va a sfruttare le fluttuazioni di tensione del chip di AMD, ma non è risolvibile da software e richiede un aggiornamento hardware.

Intervistati da TechCrunch, i ricercatori hanno tenuto a sottolineare che lo scopo della ricerca non è quello di mettere Tesla alla berlina (e dato che parliamo di auto, scusate il gioco di parole): "Non siamo malvagi outsider, in realtà siamo l'insider, possediamo l'auto. E non vogliamo pagare altri 300 dollari per i sedili posteriori riscaldati", è la giustificazione che i ricercatori hanno dato per motivare il loro lavoro.

49 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
futuristicone04 Agosto 2023, 09:53 #1
Mi chiedo è mai possibile che che le auto Tesla abbiano sempre problemi mentre le altre auto elettriche sembrano perfette, mai un disguido ? Vi sembra una cosa credibile ? oppure vi sta sotto un disegno per screditare questo marchio? ogni settimana almeno, le Tesla hanno dei problemi !!! e tutte le altre auto elettriche ?
MorgaNet04 Agosto 2023, 09:54 #2
Originariamente inviato da: futuristicone
Mi chiedo è mai possibile che che le auto Tesla abbiano sempre problemi mentre le altre auto elettriche sembrano perfette, mai un disguido ? Vi sembra una cosa credibile ? oppure vi sta sotto un disegno per screditare questo marchio? ogni settimana almeno, le Tesla hanno dei problemi !!! e tutte le altre auto elettriche ?


Tesla fa notizia.
Inoltre la fetta di utenza che usa Tesla è più grande di quella delle altre marche, per cui è anche più probabile che ci sia qualcuno che prova a metterla in difficoltà.
Un po' come la diffusione dei virus in ambito informatico.
Opteranium04 Agosto 2023, 10:01 #3
"E non vogliamo pagare altri 300 dollari per i sedili posteriori riscaldati"

questa se la potevano risparmiare..
Saturn04 Agosto 2023, 10:06 #4
Originariamente inviato da: Opteranium
"E non vogliamo pagare altri 300 dollari per i sedili posteriori riscaldati"

questa se la potevano risparmiare..


Magari sentono tanto freddo al posteriore, poverini...vanno capiti !

Non c'è niente da fare comunque, tutto ciò che è software, bene o male, prima o poi riescono a craccarlo !
TorettoMilano04 Agosto 2023, 10:21 #5
Originariamente inviato da: futuristicone
Mi chiedo è mai possibile che che le auto Tesla abbiano sempre problemi mentre le altre auto elettriche sembrano perfette, mai un disguido ? Vi sembra una cosa credibile ? oppure vi sta sotto un disegno per screditare questo marchio? ogni settimana almeno, le Tesla hanno dei problemi !!! e tutte le altre auto elettriche ?


in realtà, egoisticamente parlando, è una situazione ottimale e non un problema quella descritta nell'articolo. ti attivi a scrocco le funzioni a pagamento, poi invece se inviti in macchina un malintenzionato e lo fai smanettare allora si c'è un problema
Unrue04 Agosto 2023, 10:26 #6
Originariamente inviato da: futuristicone
Mi chiedo è mai possibile che che le auto Tesla abbiano sempre problemi mentre le altre auto elettriche sembrano perfette, mai un disguido ? Vi sembra una cosa credibile ? oppure vi sta sotto un disegno per screditare questo marchio? ogni settimana almeno, le Tesla hanno dei problemi !!! e tutte le altre auto elettriche ?


Questo non è un grosso problema in realtà, dato che richiede l'accesso fisico alla macchina. I veri problemi sono quelli attuabili da remoto.

Ma poi chi te lo ha detto che le altre auto elettriche non hanno problemi ?

https://carsa2z.it/problemi-comuni-con-audi-q4-e-tron/
rebeyeah04 Agosto 2023, 10:27 #7
a voi risulta gradevole il rivestimento in pelle - o finta pelle - dei sedili tesla?
per me non esiste un materiale più ignorante: bollente d'estate e ghiacciato d'inverno.
la settimana scorsa mi sono strinato il culo dopo un paio d'ore parcheggiata al sole.

Saturn04 Agosto 2023, 10:33 #8
Originariamente inviato da: rebeyeah
a voi risulta gradevole il rivestimento in pelle - o finta pelle - dei sedili tesla?
per me non esiste un materiale più ignorante: bollente d'estate e ghiacciato d'inverno.
la settimana scorsa mi sono strinato il culo dopo un paio d'ore parcheggiata al sole.


Non ho Tesla ma posso suggerirti comunque di mettere un parasole aderente al parabrezza. Troverai i sedili che non ti arrostiscono il suddetto culo ed eviterai che la plastica in generale del veicolo si cuocia per il troppo calore come bonus.

Per eventuali ustioni o scottature puoi rivolgerti invece al tuo farmacista di fiducia.

p.s. gradisco poco i rivestimenti in pelle, tengo appunto dei copri-sedili fatti con pirulini di finto legno. Eviti anche l'appiccicaticcio !
gd350turbo04 Agosto 2023, 10:42 #9
Originariamente inviato da: Saturn
Non ho Tesla ma posso suggerirti comunque di mettere un parasole aderente al parabrezza. Troverai i sedili che non ti arrostiscono il suddetto culo ed eviterai che la plastica in generale del veicolo si cuocia per il troppo calore come bonus.

Per eventuali ustioni o scottature puoi rivolgerti invece al tuo farmacista di fiducia.

p.s. gradisco poco i rivestimenti in pelle, tengo appunto dei copri-sedili fatti con pirulini di finto legno. Eviti anche l'appiccicaticcio !


Solo una volta ho avuto un auto con i sedili in pelle vera, nera...
Non ho mai odiato una cosa così tanto !
Nonostante fossero di pelle vera e non di plastica, d'inverno ti si ghiacciavano e d'estate ti si arrostivano le chiappe !
Saturn04 Agosto 2023, 10:48 #10
Originariamente inviato da: gd350turbo
Solo una volta ho avuto un auto con i sedili in pelle vera, nera...
Non ho mai odiato una cosa così tanto !
Nonostante fossero di pelle vera e non di plastica, d'inverno ti si ghiacciavano e d'estate ti si arrostivano le chiappe !


Però vuoi mettere la classe di aver la pelle vera !

Link ad immagine (click per visualizzarla)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^